设为主页 | 加入收藏 | 繁體中文

最易被黑客盯上的注册表位置

  问:前两天我翻开了mail中的一个附件,因为谁人mail的地址和我一个同事的地址很像,因而没有多考虑就将附件下载翻开了。不想这个附件是个病毒,它让我的机器变的很慢,杀毒之后好像没有太大作用。叨教我该怎样办?
  答:病毒、木马、和一些恶意软件,往往都市对Widnows的注册表下辣手,虽然破坏形式不尽相同,但是经太过析它们的破坏伎俩并非无纪律可循。这里列出了一些用户系统中被易被修正的系统设置和注册表项。发起再换用其他木马专杀工具试一下,并再针对以下注册表键值举行查抄,看看能否有被改动过的迹象。
  系统设置文件
  对于Widnows  9X系统,常见的是病毒修正可能会更改autoexec.bat,只需在其中参加执行病毒程序文件的语句即可在系统启动时自动激活病毒。*更改drive:\windows\win.ini大概system.ini文件。病毒通常会在win.ini的“run=”背面参加病毒本身的文件名,大概在system.ini文件中将“shell=”更改。
  注册表键值
  现在,只需新出的蠕虫/特洛伊类病毒一般都有修正系统注册表的行动。它们修正的位置一般有以下几个中央:
  在系统启动时自动执行的程序
  HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\   
  在系统启动时自动执行的系统办事程序
  HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\   
  在系统启动时自动执行的程序,这是病毒最有可能修正/添加的中央
  HKLM\Software\Microsoft\Windows\CurrentVersion\Run\   
  HKEY_CLASSES_ROOT\exefile\shell\open\command   
  说明:此键值能使病毒在用户运转任何EXE程序时被运转,以此类推,..\txtfile\..  大概  ..\comfile\..  也可被更改,以便完成病毒自动运转的功能。
  另外,有些健值还可能被利用来完成比力分外的功能:
  有些病毒会经过修正上面的键值来阻止用户查看和修正注册表:
  HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\ 
  System\DisableRegistryTools  =
  为了阻止用户利用.REG文件修正注册表键值,以下键值也会被修正来显示一个内存拜访错误窗口
  例如:Win32.Swen.B  病毒  会将缺省健值修正为:
  HKCR\regfile\shell\open\command\(Default)  =  "cxsgrhcl.exe  showerror"
  经过对以上中央的修正,病毒程序主要达到的目标是在系统启动大概程序运转过程中能够自动被执行,已达到自动激活的目标。 问:前两天我翻开了mail中的一个附件,因为谁人mail的地址和我一个同事的地址很像,因而没有多考虑就将附件下载翻开了。不想这个附件是个病毒,它让我的机器变的很慢,杀毒之后好像没有太大作用。叨教我该怎样办?
  答:病毒、木马、和一些恶意软件,往往都市对Widnows的注册表下辣手,虽然破坏形式不尽相同,但是经太过析它们的破坏伎俩并非无纪律可循。这里列出了一些用户系统中被易被修正的系统设置和注册表项。发起再换用其他木马专杀工具试一下,并再针对以下注册表键值举行查抄,看看能否有被改动过的迹象。
  系统设置文件
  对于Widnows  9X系统,常见的是病毒修正可能会更改autoexec.bat,只需在其中参加执行病毒程序文件的语句即可在系统启动时自动激活病毒。*更改drive:\windows\win.ini大概system.ini文件。病毒通常会在win.ini的“run=”背面参加病毒本身的文件名,大概在system.ini文件中将“shell=”更改。
  注册表键值
  现在,只需新出的蠕虫/特洛伊类病毒一般都有修正系统注册表的行动。它们修正的位置一般有以下几个中央:
  在系统启动时自动执行的程序
  HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\   
  在系统启动时自动执行的系统办事程序
  HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\   
  在系统启动时自动执行的程序,这是病毒最有可能修正/添加的中央
  HKLM\Software\Microsoft\Windows\CurrentVersion\Run\   
  HKEY_CLASSES_ROOT\exefile\shell\open\command   
  说明:此键值能使病毒在用户运转任何EXE程序时被运转,以此类推,..\txtfile\..  大概  ..\comfile\..  也可被更改,以便完成病毒自动运转的功能。
  另外,有些健值还可能被利用来完成比力分外的功能:
  有些病毒会经过修正上面的键值来阻止用户查看和修正注册表:
  HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\ 
  System\DisableRegistryTools  =
  为了阻止用户利用.REG文件修正注册表键值,以下键值也会被修正来显示一个内存拜访错误窗口
  例如:Win32.Swen.B  病毒  会将缺省健值修正为:
  HKCR\regfile\shell\open\command\(Default)  =  "cxsgrhcl.exe  showerror"
  经过对以上中央的修正,病毒程序主要达到的目标是在系统启动大概程序运转过程中能够自动被执行,已达到自动激活的目标。
 


    文章作者: 福州军威计算机技术有限公司
    军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
    版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。

TAG:
评论加载中...
内容:
评论者: 验证码: